Authentifizierung ist die Bestätigung der Identität eines Benutzers, um auf ein Grid zuzugreifen. AppLogic unterstützt kennwortbasierte Authentifizierung auf der Benutzeroberfläche. Außerdem wird Authentifizierung auf Basis eines öffentlichen Schlüssels unterstützt, wenn der Zugriff auf die Befehlszeilenschnittstelle (CLI) über eine sichere Shell (SSH) erfolgt.
Authentifizierung auf der Benutzeroberfläche für lokale Benutzer wird mithilfe des integrierten lokalen Verzeichnisdienstes für kennwortbasierte Authentifizierung ausgeführt.
Authentifizierung auf der Benutzeroberfläche für globale Benutzer basiert auf den externen globalen Verzeichnisdienst für kennwortbasierte Authentifizierung.
SSH-Authentifizierung für lokale und globale Benutzer basiert auf SSH, um Authentifizierung auf Basis eines öffentlichen Schlüssels bereitzustellen. Öffentliche SSH-Schlüssel für globale Benutzer werden von jedem Grid lokal verwaltet, da die meisten globalen Verzeichnisse diese Funktion nicht bereitstellen.
Wenn ein globaler Benutzer über SSH auf die CLI zugreift, ist es in der interaktiven Befehlszeilen-Shell erforderlich, dass sich der Benutzer sofort beim globalen Verzeichnisdienst authentifiziert. Dies erfolgt, um die Vertrauensbasis zwischen dem Grid und dem globalen Verzeichnisdienst beizubehalten.
Nicht-interaktive Ausführung der Remote-Befehlszeilen über SSH ist für globale Benutzer deaktiviert.
Wenn sich ein Benutzer bei der AppLogic-GUI oder sich über SSH anmeldet, um eine Befehlszeilen-Shell zu öffnen, besteht die Anmeldung aus zwei verschiedenen Vorgängen: Authentifizierung und Autorisierung. Auch wenn die Authentifizierung erfolgreich ist, wird Zugriff auf das Grid abgelehnt, wenn der Benutzer keine Berechtigung hat, sich anzumelden. Alle Zugriffsebenen, die für die Grid-ACL definiert sind, stellen Anmeldeberechtigungen bereit. Solange dem Benutzer Zugriffsebenenrechte auf die Grid-ACL gewährt werden, oder er Mitglied einer Gruppe mit solchen Rechten ist, verfügt der Benutzer über Anmeldeberechtigungen.
Bei der Authentifizierung eines globalen Benutzers wird die Mitgliedschaft dieses Benutzers in seiner globalen Gruppe aus dem globalen Verzeichnisdienst gelesen. Diese Informationen werden im lokalen Directory-Service zwischengespeichert. Diese zwischengespeicherte Informationen der globalen Gruppenmitgliedschaft wird verwendet, um zu bestimmen, ob der Benutzer für die Ausführung einer Aktion autorisiert ist.
Es ist ein gültiger Anwendungsfall, dass Benutzer über keine Anmeldeberechtigungen verfügen. Normalerweise ist nur ein begrenzter Teil aller Benutzer in einem globalen Verzeichnisdienst dazu berechtigt, sich bei einem bestimmten Grid anzumelden. Möglicherweise möchte ein Grid-Administrator die Anmeldung eines bestimmten Benutzers ablehnen, indem er das Konto des Benutzers deaktiviert, ohne es zu entfernen.
|
Copyright © 2013 CA.
Alle Rechte vorbehalten.
|
|